Dos nuevos avisos de seguridad

Índice

  • Vulnerabilidad de elusión de autenticación en productos de Juniper Networks
  • Múltiples vulnerabilidades en GitLab

Vulnerabilidad de elusión de autenticación en productos de Juniper Networks

Fecha28/06/2024
Importancia5 - Crítica
Recursos Afectados
  • Session Smart Router:
    • todas las versiones anteriores a 5.6.15;
    • desde la versión 6.0 hasta la versión 6.1.9-lts;
    • desde la versión 6.2 hasta la versión 6.2.5-sts.
  • Session Smart Conductor:
    • todas las versiones anteriores a 5.6.15;
    • desde la versión 6.0 hasta la versión 6.1.9-lts;
    • desde la versión .2 hasta la versión 6.2.5-sts. 
  • WAN Assurance Router:
    • 6.0, versiones anteriores a 6.1.9-lts;
    • 6.2, versiones anteriores a 6.2.5-sts.

Juniper Networks indica que solo los routers que están funcionando en configuraciones redundantes de alta disponibilidad están afectados por esta vulnerabilidad.

Descripción

Juniper Networks ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto eludir la autenticación y hacerse con el control total del dispositivo afectado.

Solución

Actualizar los dispositivos Session Smart Router a las siguientes versiones: SSR-5.6.15, SSR-6.1.9-lts, SSR-6.2.5-sts y posteriores.

Para más información acerca de soluciones para el resto de productos afectados, consultar el aviso en las referencias.

Detalle

Vulnerabilidad de elusión de autenticación mediante una ruta o canal alternativo en el router inteligente de sesión o el conductor de Juniper Networks, que se ejecuta con un par redundante, podría permitir a un atacante remoto eludir la autenticación y tomar el control total del dispositivo.

Se ha asignado el identificador CVE-2024-2973 para esta vulnerabilidad.

Múltiples vulnerabilidades en GitLab

Fecha28/06/2024
Importancia5 - Crítica
Recursos Afectados

La vulnerabilidad de severidad crítica afecta a las siguientes versiones de GitLab:

  • versiones desde 15.8 anterior a 16.11.5;
  • versiones desde 17.0 hasta 17.0.3;
  • versiones desde 17.1 hasta 17.1.1.

Las versiones afectadas para el resto de vulnerabilidades de severidad no crítica, pueden consultarse en el aviso de las referencias.

Descripción

Varios investigadores, tanto del equipo de GitLab como a través de la plataforma HackerOne, han reportado 14 vulnerabilidades en GitLab, 1 de severidad crítica, 3 de severidad alta, 9 de severidad media, y 1 de severidad baja.

Solución

GitLab recomienda a los usuarios afectados que todas las instalaciones que ejecuten una versión afectada por los problemas descritos se actualicen a la última versión lo antes posible.

Detalle

Se ha descubierto un problema en GitLab CE/EE que podría permitir a un atacante activar una canalización como otro usuario en determinadas circunstancias. Se ha asignado el identificador CVE-2024-5655 para esta vulnerabilidad de severidad crítica.

El detalle del resto de vulnerabilidades de severidad no crítica, se puede consultar en el aviso de las referencias.